AWSとか

[Yuya-Furusawa]

AWSにまつわるメモ IAMとかEC2とかECSとか...

[Yuya-Furusawa]

IAMロールとIAMポリシー

IAMポリシー

• 「誰が」「どのAWSサービスの」「どのリソースに対して」「どんな操作を」「許可する/許可しないのか」を記述したJSONファイル
• 記述したポリシーをPrincipal（IAMユーザー、AWSリソース、IAMロール、etc）にアタッチして使用する
• 大きく２種類に分けられる
  • Identity Based Policy
  • IAMユーザー、IAMグループにアタッチする
  • Resource Based Policy
  • AWSリソースにアタッチする

Identity Based Policyの例 S3のすべてのリソースに対する参照操作を許可（AWSが用意しているAmazonS3ReadOnlyAccessというポリシー） IAMユーザーにアタッチすることは明確なのでPrincipalは省略

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:Get*",
        "s3:List*"
      ],
      "Resource": "*"
    }
  ]
}

Resource Based Policyの例 「AWSアカウント：777788889999のIAMユーザー：bob」 が 「example-bucket S3バケット配下」に「操作：PutObject、PutObjectAcl」を「許可する」事を意味している

{
  "Version": "2012-10-17",
  "Statement": {
  "Effect": "Allow",
  "Principal": {"AWS": "arn:aws:iam::777788889999:user/bob"},
  "Action": [
    "s3:PutObject",
    "s3:PutObjectAcl"
  ],
  "Resource": "arn:aws:s3:::example-bucket/*"
  }
}

IAMロール

• 特定のアクセス権限を表すAWS Identity
• IAMユーザーやIAMグループ、AWSリソースにアタッチされる
• 「どんな権限」を「誰に」渡すことができるかを記述
• ２つの構成要素
  • 信頼関係
  • このロールに誰がスイッチできるか
  • 権限
  • このロールで何ができるか
• 権限はPolicyの集合体で表現される

参照

• AWS IAMポリシーを理解する
• AWS初心者にIAM Policy/User/Roleについてざっくり説明する

[Yuya-Furusawa]

PassRoleとAssumeRole

PassRoleとは

• AWSサービスにIAMロールを渡すためのアクション
• PassRoleの権限がないと、IAMロールをリソースに割り当てることができない

例：このIAMユーザーにIAMロールを他に割り当てる事ができる権限を与える

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:*",
        "iam:PassRole"
      ],
      "Resource": "*"
    }
  ]
}

AssumeRoleとは

• IAMロールを引き受けるためのアクション
• AssumeRoleの権限がないと、IAMロールを引き受けることができない

例：EC2がRoleを引き受けられるように権限設定

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

参照

• IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた

[Yuya-Furusawa]

ECS(Amazon Elastic Container Service)

ECSとは

• クラウド上でコンテナを本番環境利用するためのオーケストレーター
• 他のAWSサービスと連携できる
  • EC2, Fargate, etc
• コンテナの実行環境としてEC2インスタンスもしくはAmazon Fargeteを選ぶ
• クラスターの中にEC2インスタンス群があり、各EC2インスタンスにはタスク群・ECSコンテナエージェント・Docker Engineがある。各タスクはコンテナ群により構成される
  • 図参照

ECSコンテナインスタンス

• コンテナの実行環境として使用するEC2インスタンスを「ECSコンテナインスタンス」と呼ぶ
• ECSコンテナエージェントやDockerデーモンが実行される
• 基本的には"Amazon ECS-optimized AMI"と呼ばれるAmazon側が特別に用意したAMIを使って作成する
• どのクラスターに属するかはecs.configファイルで指定する

ECSの構成要素

• タスク定義
  • タスクをどのように作成するかを定義する
  • 例：どのDocker Imageを使用するか
• クラスター
  • ECSの単位（境界）
• タスク
  • コンテナ群
  • 同じタスク内に属するコンテナは同一ホスト上で実行される
• サービス
  • タスクの実行数を定義し、その数を維持する
  • どのタスク定義を使用するか、どのALBと紐付けるかなどを指定

参照

• ECS入門（PDF）
• ECS入門（YouTube）